GWLB구성 1: EP -EPS로구축해보자

본 내용은 AWS 세미나 내용을  듣고 개인적으로  테스트하며 정리한 내용입니다.

내용이  틀릴수 있습니다.

GWLB 

게이트웨이 역할을 하는 로드 밸런서이다.

보안장비 구축 시  게이트웨이 역할을 한다.

 EndPoint - EndPoint Service로 구축법이다.

서비스를 위한 부분은 아니며  내부적으로 통신 하는 법이 설명 된다.

트랜짓 게이트웨이를 사용하지 않는 경우이다.

실무에서는  트랜짓 게이트웨이를 사용하는 경우가 많으므로 구성과 라우팅 설정만 참고하도록 한다.

<1>  EndPoint - EndPoint Service로 구축해보자

<2>  들어오는것 동작 ?

<3>  나가는것  동작 ?

<4>  GWLB VPC 구성

<5>  서비스  VPC인 VPC 1 구성

<6> 추가 자료

<1>  EndPoint - EndPoint Service로 구축해보자

이미지 출처 : gitbook 

동작 확인

유입과 유출 모두 해당 VPC  IGW를 사용하는 방법이다.

라우팅 테이블을 확인하자!!!  

<2>  들어오는것 동작 ?

1

외부 사용자가 VPC1 서비스  Private EC2로 가려고 IGW로 가면

IGW-Ingress 라우팅 테이블 생성  

엣지 연결을 IGW와 연결 필요

2

IGW-Ingress 라우팅 테이블에서  

서비스 VPC인 VPC1 서버의 Private subnet IP 블럭에 대해  EP로 가도록 설정

3

Endpoint 는 미리 2개 만들어 놓아야 한다.

AZ 별 Endpoint 필요.  (Subnet별 Endpoint)

이름별 서비스 찾기  >  Endpoint Service명을 찾아서 생성한다.

// GWLB VPC에 미리 Endpoint Service를 생성해야, Endpoint를 만들수 있다.

4

VPC1 EP는  GWLB VPC의 EPS로 간다.

-> GWLB  -> Network Firewall 을 거친다.

0.0.0.0/0  Endpoint   라우팅으로  다시 VPC1  Private Subnet EC2로 간다.

<3>  나가는것  동작 ?

1

VPC1 서비스 Private Subnet에 EC2 는  0.0.0.0/0 은  EP로 간다. 

모두 EP를 거친다. 

2

EP는 GWLB VPC가 있는 EPS로 가서 Network Firewall 을 거친다..

GWLB VPC 라우팅 테이블은?

0.0.0.0/0  EP 이다.

3

다시  VPC1로 오면

VPC1의   IGW를 통해 외부로 나간다.

0.0.0.0/0 IGW 이다.

EP가 있는 public Subnet의 라우팅 테이블은   0.0.0.0/0 IGW 이다.

유입과 유출 모두  서비스  VPC1의   IGW를 사용하는 방법이다.

<4>  GWLB VPC 구성

1

서비스 VPC1 구성과   GWLB VPC구성 2개로 나누어 구성된다.

서비스 VPC1 (Endpoint)  --  GWLB VPC(Endpoint Service  VPC- GWLB- 제네브 UDP 6081 보안장비 )

2

Endpoint Service  를 만들고,   EP가  Endpoint Service 를 연결 하는 방식이다.

https://brunch.co.kr/@topasvga/1339

498. VPC피어링-EP-EPS

3

VPC > Endpoint Serivce 생성

이름

gwlb1-ep-service

로드밸런서 유형

게이트 웨이 로드밸런서로 변경

 

4

새 로드 밸랜서 생성  > Gateway Load Balancer >  타깃 그룹은 UDP 6081 , 제네브 터널링 지원장비 필수

5

라우팅 테이블  0.0.0.0/0  eni 로 설정한다.  엔드포인트로 지정한다.

// 테스트 환경에서는 외부에서 접속 해야 하므로 0.0.0.0/0 은 igw로 설정한다.

6

참고 사이트

EP 

https://brunch.co.kr/@topasvga/1316

476. 3주차-VPC엔드포인트

7

EP-EPS  구성

https://brunch.co.kr/@topasvga/1343

503. TGW-TGW-EP-EPS 구성

<5>  서비스  VPC인 VPC 1 구성

라우팅 테이블을 확인하자!!!  

유입과 유출 모두 해당 VPC  IGW를 사용하는 방법이다.

1

유입 동작 ?

외부 사용자가 VPC1 서비스  Private EC2로 가려고 IGW로 가면

IGW 라우팅 테이블은 EP로 가도록 설정한다.  

VPC1 EP는  GWLB VPC의 EPS로 가서 Network Firewall 을 거친다.

이후 다시 VPC1  Private Subnet EC2로 간다.

2

유출 동작 ?

VPC1 서비스 Private Subnet에 EC2의 0.0.0.0/0 은  EP로 간다.

EP는 GWLB VPC가 있는 EPS로 가서 Network Firewall 을 거친다.

이후 VPC1 서비스 IGW를 통해 외부로 나간다.

라우팅 테이블을 확인하자!!!  

유입과 유출 모두 해당 VPC  IGW를 사용하는 방법이다.

3

Endpoint를 설정한다.

Public Subnet에 설정한다.

Public Subnet 1, Public Subnet 2

4

라우팅 테이블 확인?

IGW  라우팅 테이블  확인 = Ingress Routing 테이블 확인

IGW  라우팅 테이블 > Edge Associations > Edit Edge associations >  igw attach 한다.

IGW 라우팅 테이블은  Private Subnet에 EC2로 가려면   EP로 가도록 라우팅 잡는다.

Private subnet1  10.200.1.0/24  EP  (AZ-A)로 라우팅 잡는다.

Private subnet2  10.200.2.0/24  EP  (AZ-C)로 라우팅 잡는다.

https://www.youtube.com/watch?v=r6mEnUTTkMQ

5

Private subnet의 라우팅 테이블 확인

EC2가 있는  Private subnet은 0.0.0.0/0  vpce-xxxxxxxxx EP로 라우팅을 잡는다.

무조건 EP로 보내면 되는 것이다.

6

참고 사이트

Ingress Routing, Private subnet 라우팅 설정 참고

https://brunch.co.kr/@topasvga/1536

555. AWS Network Firewall (정리중

7

기타

CF사용 시 PrivateToGWLB  0.0.0.0/0로 설정

같이 볼만한 자료 

https://brunch.co.kr/@topasvga/1795

(몰아보기) GWLB, Network Firewall

감사합니다.